Ceci est la troisième partie de la série d’articles sur le montage pas à pas d’une plateforme DirectAccess avec Forefront UAG.

Partie 1 : partie 1 : description et installation de la plateforme (hors serveur UAG)

http://blogs.technet.com/stanislas/archive/2009/09/30/installation-pas-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-partie-3-configuration-de-directaccess-dans-forefront-uag.aspx  

Partie 2 : partie 2 : préparation et installation de Forefront UAG

http://blogs.technet.com/stanislas/archive/2009/09/30/installation-pas-pas-d-une-plateforme-directaccess-avec-utilisation-de-forefront-uag-partie-2-pr-paration-et-installation-de-forefront-uag.aspx 

Dans cette troisième partie, nous allons voir la configuration en tant que passerelle DirectAccess du serveur Forefront UAG.

Rappel sur la plateforme de démonstration utilisée :

Tout d’abord, il faut vérifier une dernière fois tous les pré-requis à DirectAccess

La machine Forefront UAG est :

  • installée sur un Windows Server 2008 R2 RTM
  • membre du domaine stan-demo.net.
  • dispose de 2 interfaces réseaux
    • @IPv4 interne statique
    • @IPv6 interne : statique ou ISATAP
    • @IPv4 externes : 2 adresses publiques et consécutives
    • /!\ ne pas configurer de DNS externe sur l’interface externe car cela peut causer une dégradation sur les performances de DNS64
    • @IPv6 : configurée automatiquement

2 certificats sont disponibles dans la machine : un pour IPsec, un pour IP-HTTPS

Le domaine stan-demo.net dispose d’au moins un serveur DNS IPv6 supportant les enregistrements AAAA (ici c'est le DNS du DC qui est en Windows Server 2008 R2)

Plus d'informations sur les pré-requis : Forefront UAG DirectAccess prerequisites
http://technet.microsoft.com/en-us/library/dd857262.aspx

On débute la configuration de DirectAccess dans la console UAG, une fois que tous les pré-requis semblent OK.

On clique ici sur le bouton Configure dans la zone Clients

On ajoute ici les groupes de sécurité contenant les objets ordinateurs qui seront des clients DirectAccess. On clique sur Finish, puis sur Configure dans la zone DirectAccess Server

On sélectionne les adresses IP externes et internes dans les listes déroulantes, puis on clique sur Next.

Ici on laisse coché les cases pour activer les méthodes de transitions IPv6 vers IPv4. Ces méthodes de transitions sont un des apports de Forefront UAG versus Windows Server 2008 R2 seul.

Note : ceci n’est pas utile si votre environnement interne a déjà de l’IPv6 (natif ou ISATAP).  

Plus d’informations sur NAT64 et DNS64 : http://blogs.technet.com/stanislas/archive/2009/09/24/directaccess-avec-forefront-uag-nat64-et-dns64-en-action.aspx

Ici on déclare l’autorité de certification utilisée (Racine ou intermédiaire) ainsi que le certificat utilisé pour IP-HTTPS

Cliquer sur Finish

On clique sur Configure dans la zone Infrastructure Servers pour aller configurer la NRPT (cf. http://blogs.technet.com/stanislas/archive/2009/07/03/directaccess-mythes-r-alit-partie-3-la-r-solution-de-noms-dns.aspx) et le Network Location Server (cf. http://blogs.technet.com/stanislas/archive/2009/08/10/directaccess-mythes-r-alit-partie-4-d-termination-du-r-seau-et-utilisation-ou-pas-de-directaccess.aspx)

Ici j’ai saisi l’URL interne HTTPS de mon serveur NLS (pensez à vérifier la présence d’un enregistrement A pour nls.stan-demo.net dans la zone stan-demo.net du DNS interne). Cliquer sur Validate pour vériifer la disponibilité du service NLS.

C’est au vert tout va bien :-)

Ici normalement la table NRPT est construite automatiquement

Dans l’assistant DirectAccess de Windows Server 2008 R2, il n’est pas nécessaire de remplir cette liste. Avec Forefront UAG (au moins dans cette version RC0), il faut mettre au moins le DC. Pour cela double-cliquer sur la ligne vide.

Et là ça y est le bouton Finish est dégrisé, on peut configuré la topologie DirectAccess pour l’accès aux serveurs d’applications

Cliquer 2 fois sur Finish.

Ce n’est pas encore fini (trompeurs ces boutons non ?)

Cliquer sur Export Script pour exporter la configuration sous la forme d’un script PowerShell.

Puis cliquer sur Apply Now.

Vous pouvez voir le script PowerShell s’exécuter.

Terminé ? et non pas encore.

Il faut maintenant faire encore 2 opérations :

– Appliquer la configuration (au sens UAG du terme)

– Exécuter GPUPDATE /Force   (ou faire un bon reboot du serveur, à l’ancienne comme on dit :-))

Et là normalement, DirectAccess fonctionne !!!

Pour vérifier le bon fonctionnement de l’ensemble, hors tests de connectivités, vous pouvez utiliser mon guide de dépannage de DirectAccess : http://blogs.technet.com/stanislas/archive/2009/08/18/guide-de-d-pannage-directaccess-pour-les-administrateurs-windows.aspx

Note : Toute cette installation sera disponible prochainement en vidéo.

Voilà c’est tout pour l’instant : bons tests de Forefront UAG !